2019-0235: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-02-05 15:51)

Neues Advisory

Version 2 (2019-02-07 17:08)

Der Hersteller Samsung veröffentlicht die Version 'SMR Feb-2019 Release 1' als Sicherheitsupdate, mit dem einige der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise bereits mit früheren Android Security Bulletins adressiert wurden. Diese Version beinhaltet zusätzliche Patches für Schwachstellen in Geräten aus eigener Herstellung.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Google
Linux

Beschreibung:

Mehrere Schwachstellen in Google Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 und 9 vor Patch-Level 2019-02-05 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Eskalation von Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste und das Ausspähen sensibler Informationen mit Hilfe speziell präparierter Anwendungen. Solche Anwendungen müssen zur Ausnutzung der Schwachstellen lokal installiert und ausgeführt werden. Eine weitere Schwachstelle ermöglicht einem solchen Angreifer die Durchführung eines Denial-of-Service (DoS)-Angriffs. Die Auswirkungen zusätzlicher Schwachstellen in verschiedenen Qualcomm-Komponenten werden von Google nicht spezifiziert. Insgesamt elf der Schwachstellen werden als kritisch eingestuft.
 
Google stellt die Patch-Level 2019-02-01 und 2019-02-05 als Sicherheitsupdates zur Behebung der Schwachstellen in Google Android bereit. Der Patch-Level 2019-02-01 behebt Schwachstellen in den von Google Android eingesetzten Komponenten Framework (Sammlung von Programmschnittstellen), Library (Bibliotheken von Drittanbietern) und System (grundlegende Systemanwendungen). Der Patch-Level 2019-02-05 adressiert Schwachstellen in Kernel-Komponenten und hardwarespezifische Schwachstellen in Chipsätzen und Treibern von NVIDIA und Qualcomm.

Google kündigt für Google-Geräte (Nexus, Pixel) mit Android 9 Sicherheitsupdates durch ein Over-the-Air-Update (OTA) an und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung. Der Sicherheitshinweis für diese Geräte enthält in diesem Monat keine zusätzlichen Schwachstellen.

Der Hersteller LG veröffentlicht ein Sicherheitsupdate, mit dem einige der hier referenzierten sowie weitere Schwachstellen behoben werden, die teilweise bereits mit früheren Android Security Bulletins adressiert wurden. Zusätzlich werden Schwachstellen für Geräte aus eigener Produktion behoben. LG stellt dafür Patch-Level '2019-02-01' bereit.

Andere Hersteller (Partner) wurden einen Monat vor Veröffentlichung dieser Meldung oder früher über die Schwachstellen informiert.

Schwachstellen:

CVE-2016-6684

Schwachstelle in NVIDIA-Komponente ermöglicht Ausspähen von Informationen

CVE-2017-17760

Schwachstelle in OpenCV ermöglicht Denial-of-Service-Angriff

CVE-2017-18009

Schwachstelle in OpenCV ermöglicht Denial-of-Service-Angriff

CVE-2018-10879

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2018-11262

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2018-11268 CVE-2018-11845 CVE-2018-11864 CVE-2018-11921 CVE-2018-11931 CVE-2018-11932 CVE-2018-11935

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2018-11275 CVE-2018-11280 CVE-2018-13900 CVE-2018-13905

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2018-11289 CVE-2018-11820 CVE-2018-11938 CVE-2018-11945

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2018-11948 CVE-2018-13904 CVE-2018-5839

Schwachstellen in Qualcomm-Komponenten ermöglichen nicht spezifizierte Angriffe

CVE-2018-5268

Schwachstelle in OpenCV ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-5269

Schwachstelle in OpenCV ermöglicht Denial-of-Service-Angriff

CVE-2018-6267 CVE-2018-6268

Schwachstellen in NVIDIA-Komponente ermöglichen Privilegieneskalation

CVE-2018-6271

Schwachstelle in NVIDIA-Komponente ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-1986 CVE-2019-1987 CVE-2019-1988

Schwachstellen in Framework ermöglichen Ausführung beliebigen Programmcodes

CVE-2019-1991 CVE-2019-1992

Schwachstellen in System ermöglichen Ausführung beliebigen Programmcodes

CVE-2019-1993 CVE-2019-1994

Schwachstellen in System ermöglichen Privilegieneskalation

CVE-2019-1995 CVE-2019-1996 CVE-2019-1997

Schwachstellen in System ermöglichen Ausspähen von Informationen

CVE-2019-1998

Schwachstelle in System ermöglicht Denial-of-Service-Angriff

CVE-2019-1999 CVE-2019-2000

Schwachstellen in Linux-Kernel ermöglichen Privilegieneskalation

CVE-2019-2001

Schwachstelle in Kernel ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.